バインド変数とは何ですか？

SQLの中に「?」や「:name」などのプレースホルダを置き、実行時に値を埋め込む仕組み。SQLインジェクション防止と実行計画の再利用に効果がある。

バインド変数のポイントは？

プリペアドステートメントとも呼ばれる。SQLインジェクション攻撃を根本的に防ぐ最も効果的な手段。DBが実行計画をキャッシュして再利用できるためパフォーマンスも向上。「?」（MySQL・SQLite）や「$1, $2」（PostgreSQL）や「:name」（Oracle）など書き方が異なる

【ばいんどへんすう】

バインド変数とは？

💡 SQLの「穴埋め問題方式」、安全にユーザー入力を組み込む仕組み

📌 このページのポイント

プリペアドステートメントとも呼ばれる
SQLインジェクション攻撃を根本的に防ぐ最も効果的な手段
DBが実行計画をキャッシュして再利用できるためパフォーマンスも向上
「?」（MySQL・SQLite）や「$1, $2」（PostgreSQL）や「:name」（Oracle）など書き方が異なる

バインド変数と文字列結合の比較

ひよこ

バインド変数って何のためにあるの？

ペンギン先生

2つの目的がある。①セキュリティ：「WHERE name = ?」として?に値を後から渡せばSQLに特殊文字が混入しても安全（SQLインジェクション防止）。②パフォーマンス：DBが実行計画をキャッシュして繰り返し使えるから高速化できる。

ひよこ

使わないとどんな問題が？

ペンギン先生

文字列でSQLを組み立てると「WHERE name = '」+ユーザー入力+「'」という書き方になる。ユーザーが「'; DROP TABLE users; --」と入力するとDBが破壊されるSQLインジェクションが起きる。バインド変数を使えばユーザー入力がSQL文として解釈されない。

ひよこ

Pythonでの書き方は？

ペンギン先生

「cursor.execute('SELECT * FROM users WHERE email = %s', (email,))」のように書く。「%s」がプレースホルダで、タプルで渡した値が安全に埋め込まれる。SQLAlchemyなどのORMも内部でバインド変数を使っている。

ひよこ

バインド変数を使わないとSQLインジェクション以外にも問題があるの？

ペンギン先生

パフォーマンスにも影響するんだよ。データベースはSQL文を実行するとき「実行計画」を作るんだけど、バインド変数を使うと同じ構造のSQLは実行計画を再利用できる。文字列連結で毎回違うSQLになると、毎回実行計画を作り直す「ハードパース」が発生してCPUを消費するんだ。Oracleでは特にこの影響が大きくて、バインド変数を使うだけで何倍もスループットが改善することがあるよ。セキュリティとパフォーマンスの両方で必須のテクニックなんだ。

まとめ：ざっくりこれだけ覚えればOK！

バインド変数って出てきたら「SQLに?などのプレースホルダを使い値を後から埋め込む仕組み、SQLインジェクション防止の基本」と思えばOK！

📖 おまけ：英語の意味

「Bind Variable（Prepared Statement）」＝束縛変数・変数の紐付け

💬 SQLに「変数を束縛（bind）する」ことから。「プリペアドステートメント（Prepared Statement）」とも呼ばれ、事前にSQLを準備して後から値を差し込む方式

← 用語集にもどる

バインド変数 とは？

バインド変数とは？